好问题。我不能对他们可以做的其他事情说太多，但这里有一些关于你提出的评论：

1. 是的，他们可以吊销证书。但是，虽然这可能会给您的用户带来一些可用性问题，但它不会损害机密性或完整性。
2. Let's Encrypt可能会颁发伪造证书，但这就是为什么所有证书都在证书透明度日志中报告的原因。如果您对此感到担忧，您可以查看使用您的域名颁发的证书，这些证书从未在您的服务器上使用过。
3. 同样，这是证书透明度的好处。用户可以对 CT 日志进行交叉检查，以确保任何给定的证书都是有效的。这将比在您的域上查看证书的效果稍差，但理论上仍然可以识别出恶意证书。

就其对机密性和完整性的影响而言，我最担心的是对您使用请求 Let's Encrypt 证书的工具的供应链攻击。默认工具 - certbot - 需要大量访问权限，因为它还旨在将证书安装在各种 Web 服务器中，并且设计人员认为，如果您要颁发证书，则无论如何都应该是 root。幸运的是，该工具是开源的，拥有超过 300 名直接贡献者，因此将一些东西滑入工具中的可能性比说...滑入您用于 Web 应用程序的库之一的可能性要小。

和

• 他们可以拒绝颁发新证书。
• 他们可能会被迫将您的个人数据（注册电子邮件、与您的 ACME 帐户链接的域列表、您的服务器的 IP ......）提供给美国当局。
• 他们可能被迫将您网站访问者的个人数据（IP、用户代理...）（使用 OCSP 请求）提供给美国当局。（OCSP 订书钉可以防止这种情况）
• 他们可以通过拒绝回答 OCSP 请求来阻止您的一些访问者访问您的网站（如果他们的浏览器配置了 OCSP 的硬故障。也许他们可以只向他们发送“已撤销”的 OCSP 答案）。OCSP 订书钉也可以防止这种情况

他们确实发布了有关这些请求的（一些）统计数据：ISRG 法律透明度报告

https://community.letsencrypt.org上的其他相关链接：

• 收到的两份美国传票的详细信息

• 根据 mclatchydc.com 的说法，让我们加密撤销并禁止 USAReally.com

• 美国受制裁国家的证书

• 让我们加密和美国法律